Maintenant que nous sommes tous épouvantés, que doit-on faire ? » Cette question nous a été posée lors d’un webinaire récent sur la menace cyber, qui m’avait pourtant semblé moins anxiogène que les multiples actualités. Nous allons essayer d’y apporter une première réponse.
En tant que dirigeant, vous pouvez faire une analogie entre la gestion de ce risque cyber et celle du risque incendie. Dans ce cas, vous avez des dispositifs de protection en place (portes coupe-feu, extincteurs), des procédures existantes (plan d’évacuation), des référents internes, des outils de sensibilisation (fiches de précaution), des exercices de gestion de crise (exercices d’évacuation), et vous êtes également assurés !
Nous vous proposons simplement d’appliquer la même méthode pour traiter le risque cyber, dont les conséquences peuvent être également dramatiques, et dont la probabilité d’occurrence est bien plus élevée que celle d’un incendie !
- TES RICHESSES, TU CONNAÎTRAS
Qu’est-ce qui a le plus de valeur au sein de votre entreprise ? Votre stratégie de sécurité consistera à protéger en priorité, et avec les moyens nécessaires, vos données les plus sensibles. Il est intéressant d’estimer le coût d’une indisponibilité temporaire de ces données, ou d’un arrêt de votre production, pour les mettre en relation avec les investissements actuels et à venir pour leur sécurisation. - TES DONNÉES, TU SAUVEGARDERAS
Une fois les données stratégiques identifiées, vous devez assurer leur pérennité en les sauvegardant sur différents supports (serveurs indépendants, sauvegardes physiques, datacenters extérieurs), et en faisant des tests de restauration réguliers. - TON AUTHENTIFICATION, TU RENFORCERAS
Utilisez-vous des mots de passe trop simples, ou communs entre vos usages professionnel et personnel ? Tout le travail de sécurisation est vain si les moyens d’authentification de vos salariés sont trop faciles à récupérer. Vous pouvez utiliser un coffre-fort électronique, pour n’avoir qu’un mot de passe à retenir, et mettre en place une double authentification1 pour vos applications critiques. - TES ÉQUIPEMENTS, TU MAINTIENDRAS
Savez-vous que les pirates sont souvent les premiers à regarder les mises à jour proposées par les éditeurs ? En effet, elles corrigent des vulnérabilités qu’ils peuvent retrouver, et exploiter, avant que vous ne mettiez à jour vous-même vos logiciels ! Il est donc nécessaire d’appliquer rapidement l’ensemble des mises à jour proposées par vos éditeurs. - TES AUTORISATIONS, TU LIMITERAS
Vous avez peut-être un système de badge, avec des salles sécurisées ayant un niveau d’accès particulier ? Il s’agit de faire la même chose sur votre système d’information ! Il n’est probablement pas nécessaire que vos salariés soient administrateurs de leur poste, ou qu’ils aient accès à des répertoires et données qui ne concernent pas leur activité. Et n’oubliez pas de désactiver leurs accès en cas de départ ! - TES COLLABORATEURS, TU SENSIBILISERAS
Le maillon faible se situerait entre la chaise et l’écran, comme on peut l’entendre souvent ? Faites plutôt de vos utilisateurs votre premier rempart contre les cyberattaques, en leur donnant les bonnes pratiques (sur les sites de l’Anssi (2) et de Cybermalveillance), et en les challengeant sur des exercices de sensibilisation comme la simulation d’une attaque de phishing (3) par email. - RÉAGIR AUX ATTAQUES, TU SAURAS
Que se passerait-il en cas de cyberattaque ? Les numéros de votre service informatique ou de votre prestataire sont-ils connus au sein de l’entreprise ? Ont-ils les capacités de traiter efficacement un incident cyber d’ampleur ? Que faire s’ils sont injoignables ? Vous devez définir une procédure de réponse à incident, partagée au sein de toute la société, avec des numéros d’urgence de personnels ou prestataires qualifiés et disponibles. - TES PRESTATAIRES, TU RESPONSABILISERAS
Votre activité repose sûrement sur plusieurs prestataires, peut-être certains ayant accès à votre système d’information ou hébergeant des données stratégiques (éditeur d’ERP, infogéreur…). Avez-vous une idée de leur propre niveau de sécurité ? Avez-vous contractualisé leur responsabilité en cas de manquement ?
Vous devez exiger de vos fournisseurs des preuves de leurs bonnes pratiques de sécurité. Ils doivent également avoir un niveau de responsabilité cohérent par rapport à leurs accès, et cela doit être indiqué sur votre contrat. - UNE CYBERASSURANCE, TU SOUSCRIRAS
Les mesures citées vous permettront de réduire votre exposition aux cyberattaques. Nous vous conseillons d’assurer le risque résiduel et d’avoir l’accompagnement et le dédommagement adéquats en cas de cyberattaque. Il est intéressant de noter que les assureurs vous demanderont les actions de sécurité mises en place et qu’il est nécessaire d’avoir un niveau d’hygiène informatique correct pour être assurable. - TA CYBERSÉCURITÉ, TU AMÉLIORERAS
Nous vous conseillons de nommer un référent en interne, sensibilisé à la cybersécurité, afin de suivre l’évolution de votre exposition et de poursuivre l’amélioration de votre sécurité en fonction des menaces existantes.
Vous pouvez aussi faire appel à des sociétés expertes en cybersécurité, afin de réaliser un état des lieux de votre situation actuelle et vous faire accompagner sur la mise en œuvre d’un plan d’actions d’amélioration de votre sécurité.
Vos clients exigeront demain les preuves de votre maturité cybersécurité, afin de pouvoir vous confier leurs données sensibles, et pour s’assurer que vous ne risquez pas de compromettre leur propre système d’information par rebond.
Nous vous recommandons d’investir dès maintenant sur votre cybersécurité, sans attendre de devoir le faire dans un planning contraint par des exigences réglementaires ou sectorielles, et de créer ainsi une relation de confiance avec vos clients et vos partenaires.
- Double-authentification : méthode d’authentification forte à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) avec la présentation de deux preuves d’identité distinctes (par exemple, mot de passe, et SMS reçu sur son téléphone).
- Anssi : Agence nationale de la sécurité des systèmes d’information.
- Phishing : technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) en se faisant passer pour un tiers de confiance.
Nicolas Guilloux, directeur grand Ouest chez Almond, société d’audit et de conseil dans les domaines de la cybersécurité, du cloud et des infrastructures.
Contact : nguilloux@almond.consulting / 06 65 31 92 93